专利名称:一种网络安全设备联动的方法及系统的利记博彩app
技术领域:
本发明涉及网络安全领域,特别是涉及一种网络安全设备联动的方法及系统。
背景技术:
目前网络信息日益丰富,但是非法、色情、暴力等不良内容在互联网上泛滥成灾。如何保证网络信息内容的合法性、健康性已经成为一个社会问题。国家也出台了一系列整治互联网低俗内容的措施。然而,互联网页的内容每天都在变化当中,如何保证动态变化的网络信息内容的健康合法以及如何对突然出现的不良内容进行判断及阻断,已经成为安全领域研究中的热点技术。 网络信息内容安全的主要技术包括应用层防火墙(网关产品)及网络内容审计系统(旁路监听产品)。应用层防火墙兼具内容审计功能,但由于部署在网关位置,大量的抓包过滤分析会影响网络的正常应用。而且目前许多网络中都部署了传统防火墙设备,如果再部署应用层防火墙会造成重复投资。网络内容审计系统作为旁路监听设备,一般采用并联到交换机监听口的方式部署,不会对网络性能造成影响,可用性强于应用层防火墙。但是其问题是只能提供事后报警,且传统的阻断方式是以双向tcp reset方式,具有时间滞后、网络传输率下降、成功率低等问题,无法精确对不良链接进行阻断。 现有技术提出了一种并联设备(如入侵检测系统)与串联设备(防火墙)的联动协议,通过server-client的方式实现设备联动阻断连接的目的。该技术的缺点在于阻断的滞后性,即入侵行为已经到达了内部网络之后,才由入侵检测系统发现,然后再通知处于网关位置的防火墙对该连接进行阻断,此时内部网络也许已经有被注入病毒的危险。而对于网络内容审计而言,即使旁路部署的审计系统发现了用户访问不良网页,并且通知了防火墙墙阻断该连接。然而由于浏览器缓存或不良网页频繁变换IP等方式,用户还能继续浏览到不良信息。 综上,现有阻断技术具有时效性差的问题。
发明内容
本发明提供了一种网络安全设备联动的方法及系统,用以解决现有网络安全设备联动阻断技术的时效性较差的问题。 本发明的一种网络安全设备联动的方法,包括下列步骤数据包到达用户主机之前被审计系统和防火墙同时截获;防火墙判定不是http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则转发该数据包;防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断要求,则进行阻断处理。
本发明的一种网络安全设备联动的系统,包括部署在网络侧集线器与用户主机侧交换机之间的防火墙,以及并联在所述集线器与交换机之间的审计系统;数据包从网络侧通过所述集线器后,被审计系统和防火墙同时截获;防火墙判定不是http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则向用户主机侧转发该数据包;防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断
要求,则进行阻断处理。 本发明有益效果如下 由于本发明的系统结构中防火墙与审计系统并联,所以可同时截获数据包。之后 通过防火墙的判断数据包协议类型机制,以及定时缓存http数据包并等待审计系统的阻 断要求机制,达到了在线阻断不良链接,不会被用户主机侧接收的效果,进而体现了阻断技 术的时效性。
图1为本发明实施例1中的系统结构图;
图2为本发明实施例2中的方法步骤流程图;
图3为本发明实施例3中的流程图。
具体实施例方式
为了解决现有网络安全设备联动阻断技术的时效性较差的问题,更为具体的是为
了解决网络旁路审计设备通过防火墙的并行联动实现在线阻断不良链接的时效性问题,本
发明提供了一种网络安全设备联动的方法及系统。以下通过若干实施例具体说明。
参见图l所示,本发明实施例1中的系统包括部署在网络侧集线器与用户主机侧
交换机之间的防火墙,以及并联在所述集线器与交换机之间的审计系统(即审计系统以双
臂并联方式接入网络,具有对集线器hub及对主交换机两个旁路监听口 )。 数据包从网络侧通过所述集线器后,被审计系统和防火墙同时截获。防火墙判断
数据包是否是http数据包,若防火墙判定不是http数据包,则向用户主机侧正常转发该数
据包。判定是http数据包,则做暂缓处理,将数据包暂存到一个暂存器中(可为先入先出
存储器FIFO原则),之后若未在设定的时间内收到审计系统发来的阻断要求,则向用户主
机侧正常转发该数据包,同时清除暂存记录;之后若在设定的时间内收到审计系统发来的
阻断要求,则进行丢包或替代后转发等阻断处理,同时清除暂存记录。审计系统判断是否发
出阻断要求的逻辑为拆接所述数据包;以拆接所得内容与预设的内容规则进行匹配;发
现违反规则,则向防火墙发出阻断请求,未发现违反规则,则不做联动处理。在防火墙中设
定的所述时间应大于审计系统处理的时间与阻断请求从审计系统到达防火墙的时间之和。
上述处理过程均以毫秒级计算,所以对用户体验影响不大。 参见图2所示,本发明实施例2中的方法包括下列主要步骤 Sl、数据包到达用户主机之前被审计系统和防火墙同时截获。 S2、防火墙判断该数据包是否为http数据包,若是,则转入S3,否则转入S5。 S3、防火墙开始计时,判断设定的时间内是否收到审计系统发来的阻断要求,若
是,则转入S4,否则转入S5。 S4、防火墙进行阻断处理,并终结流程。 S5、防火墙转发该数据包,并终结流程。 参见图3所示,本发明实施例3中的方法包括下列步骤 数据包同时到达防火墙及审计系统。
4
防火墙判断数据包,如果该包是http协议的数据包,则做暂缓处理,将数据包暂存到一个暂存器中(FIFO原则),假设该http数据包标示为x,达到一定时间后(标记为tx, 一般为数百毫秒),如未收到审计系统的阻断要求,则进行正常转发处理,同时清除暂存记录,如该段时间内收到审计系统发来的阻断要求,则进行丢包或替代后转发处理,同时清除暂存记录。如果该包不是http协议的数据包,则进行正常转发处理。
审计系统同时截获到该数据包x,拆接包进行内容规则匹配,处理时间为mx(通常为数百毫秒),一旦发现违反规则,则向防火墙发出阻断请求,该请求从审计系统到达防火墙的时间为nx (通常小于10毫秒),如未发现数据包x违反规则,则不做联动处理。
通常情况下,只要tx > mx+nx,就能达到时效性要求,在数据包未转发到用户主机前完成阻断。网页延时数百毫秒对用户体验影响不大。 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种网络安全设备联动的方法,其特征在于,包括下列步骤数据包到达用户主机之前被审计系统和防火墙同时截获;防火墙判定不是超文本传输协议http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则转发该数据包;防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断要求,则进行阻断处理。
2. 如权利要求1所述网络安全设备联动的方法,其特征在于,审计系统判断是否发出 所述阻断要求的过程包括拆接所述数据包;以拆接所得内容与预设的内容规则进行匹配;发现违反规则,则向防火墙发出阻断请求,未发现违反规则,则不做联动处理。
3. 如权利要求l所述网络安全设备联动的方法,其特征在于,所述阻断处理包括丢包 处理,或替代后转发处理。
4. 如权利要求1所述网络安全设备联动的方法,其特征在于,所述设定的时间大于审 计系统处理的时间与阻断请求从审计系统到达防火墙的时间之和。
5. —种网络安全设备联动的系统,其特征在于,包括部署在网络侧集线器与用户主 机侧交换机之间的防火墙,以及并联在所述集线器与交换机之间的审计系统;数据包从网络侧通过所述集线器后,被审计系统和防火墙同时截获; 防火墙判定不是http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则向用户主机侧转发该数据包;防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断要求,则进行阻断处理。
6. 如权利要求5所述网络安全设备联动的系统,其特征在于,所述审计系统判断是否 发出阻断要求的逻辑为拆接所述数据包;以拆接所得内容与预设的内容规则进行匹配; 发现违反规则,则向防火墙发出阻断请求,未发现违反规则,则不做联动处理。
7. 如权利要求5所述网络安全设备联动的系统,其特征在于,所述防火墙的阻断处理 包括丢包处理,或替代后转发处理。
8. 如权利要求5所述网络安全设备联动的系统,其特征在于,在防火墙中设定的所述 时间大于审计系统处理的时间与阻断请求从审计系统到达防火墙的时间之和。
全文摘要
本发明公开了一种网络安全设备联动的方法及系统,涉及网络安全领域,用以解决现有网络安全设备联动阻断技术的时效性较差的问题。方法包括数据包到达用户主机之前被审计系统和防火墙同时截获;防火墙判定不是http数据包;或者判定是http数据包,但未在设定的时间内收到审计系统发来的阻断要求,则转发该数据包;防火墙判定是http数据包,并且在设定的时间内收到审计系统发来的阻断要求,则进行阻断处理。系统包括部署在网络侧集线器与用户主机侧交换机之间的防火墙,以及并联在所述集线器与交换机之间的审计系统。
文档编号H04L29/06GK101789941SQ201010104928
公开日2010年7月28日 申请日期2010年1月29日 优先权日2010年1月29日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司